【腾讯云的1001种玩法】一分钟加固你的腾讯云Linux主机

鉴于腾讯云主机因弱口令频繁被入侵,通过加固可以避免高危端口暴露在外。

QQ密码账号安全

  1. 不使用个人QQ账号申请自研业务腾讯云主机。
  2. 能够管理腾讯云的QQ 密码需要符合强密码要求,为避免撞库攻击,不得在其他地方使用过。

Linux服务器SSH安全设置

为避免服务器被爆破SSH

  1. 不得使用12345678 football等容易猜到、以及基于键盘移位 !QAZ2wsx 等弱口令。
  2. 避免使用密码,使用证书登录。 选定一台能够访问公网的运维机作为跳板机执行 cd; ssh-keygen –t rsa 生成密钥对。执行cat .ssh/id_rsa.pub 显示并复制公钥内容。

建议第一种方法:在腾讯云官网添加SSH密钥

关闭云主机后,将密钥绑定到你的主机实例。腾讯云将会自动关闭SSH密码登录并开启证书登录。

第二种方法:命令行添加公钥 (记得将公钥保存一份)

在跳板机输入 cat .ssh/id_rsa.pub | ssh root@1.2.3.4 'cat >> .ssh/authorized_keys'

或者登录上Linux服务器后直接追加.ssh/authorized_keys

使用安全组限制服务器流量出入

为避免服务器被爆破扫描,或限制访问高危服务,或者避免不小心开放高危端口,建议对服务器实施安全组策略,根据业务需要限制网络出入流量。

如图所示,腾讯云已经自带一些安全组,默认都是全开的策略,会导致安全工单的爆发。例如一台默认配置的Windows Server服务器扫描结果:

第一步:根据业务特性,先从一个自带安全组克隆出来。注意选定服务器所在地区

然后编辑如图: 所有ICMP是允许,然后3389限定公司办公网出口可访问,然后剩下所有互联网流量全丢掉。如果你还有80或者8080 需要对外提供服务,就插入一条80 或者8080 的TCP策略,允许0.0.0.0/0

然后记得检查 “出站规则” ,最顶部要允许,要不然就访问不了外网。保存。

最后在云主机列表配置安全组,勾选刚才配置的安全组,再取消勾选默认的安全组。Done

入侵检测组件安装

前提是使用64bit Linux ;安装

wget wget mirrors.tencentyun.com/install/sec/agent.zip && unzip  agent.zip && sh install.sh

查看状态

sh /usr/local/sa/agent/restart.sh &&  sh /usr/local/sa/agent/check.sh

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏jeremy的技术点滴

云服务器上ssh服务安全加固

97460
来自专栏黑白安全

浅谈Windows入侵检查

检查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好。

24430
来自专栏黑白安全

后门攻击

后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并...

28530
来自专栏月牙寂

k8s源码分析-----kubelet(1)主要流程

第一时间获取文章,可以关注本人公众号 月牙寂道长 yueyajidaozhang

50250
来自专栏Debian社区

Debian:如何从 Jessie 升级为 Stretch

Debian 9(代号为 Stretch)现在状态为测试阶段,代码已进入开发的最后阶段并已冻结,预计 Stretch RC1 的发布时间为四月底,正式版大约在七...

11920
来自专栏信安之路

用 360 随身 WiFi 钓鱼

我也是最近因为余弦大大的推荐才关注了信安之路,可以感受到他们对于信安的热爱与认真,遂想与其观望别人,不如自己也加入进来,与大家分享自己在学习上的一些东西,也希望...

22800
来自专栏Youngxj

评论框调用一言

17170
来自专栏偏前端工程师的驿站

Windows魔法堂:解决“由于启动计算机时出现页面文件配置问题.......”

一、前言                             昨晚终于在VirtualBox中安装好Win7了,但在系统启动后弹出窗报“由于启动计算机时出...

20880
来自专栏FreeBuf

PoisonCake(毒蛋糕):内置于手机ROM的恶意代码模块

AVL移动安全团队近日联合LBE发现一款内置于手机ROM的恶意代码模块。由于该恶意代码作者将此恶意模块运行释放的模块称为“Cake”,所以我们将其命名为“Poi...

27380
来自专栏云计算D1net

企业如何抵御弱云密码

弱密码对于依靠云服务的企业来说是一种常见的威胁。专家Dejan Lukan总结了一些关于密码的最佳实践。 云服务在过去几年如雨后春笋般崛起,并被大量的个人和公司...

34750

扫码关注云+社区

领取腾讯云代金券